¿Qué es la seguridad prescriptiva desde una perspectiva de proceso?
Los procesos relacionados con la seguridad prescriptiva son distintos de los relacionados con la ciberseguridad tradicional.
seguridad de varias formas. Aquí, examinaremos las diferencias usando el ejemplo de un dispositivo que pertenece al asistente ejecutivo de un CEO que ha sido objeto de un ataque de phishing, lo que resultó en un virus. Como todo experto en seguridad cibernética sabe, las campañas de correo electrónico de phishing se dirigen cada vez más a grupos más pequeños y enfocados y se vuelven más sofisticadas y, por lo tanto, tienen más probabilidades de tener éxito, y el correo electrónico empresarial (BEC) se ha convertido en uno de los principales desafíos.
Procesos de seguridad tradicionales
En un entorno de seguridad tradicional, el analista primero debe iniciar sesión en varias herramientas para averiguar qué está sucediendo. El analista usa cada herramienta para ver los registros y los datos necesarios para comprender el incidente. Si bien el analista puede establecer rápidamente que existe un virus polimórfico de ‘0 días’, es posible que las herramientas no vinculen el punto final con el usuario para rastrear fácilmente el ataque de phishing. Sin este vínculo, es posible que las acciones para actualizar la seguridad en el límite no sucedan rápidamente, si es que lo hacen; como resultado, más usuarios podrían verse afectados.
El analista también necesita múltiples sistemas y aplicaciones de seguridad para coordinar la respuesta correcta. Esto llevará tiempo, especialmente si estas herramientas de seguridad no se usan a diario, lo que aumenta nuevamente los riesgos para otros usuarios. También puede haber riesgos asociados con el orden en el que se configuran los pasos de reparación en los diversos sistemas. Peor aún, cuando los dispositivos están fuera de línea o no están conectados de nuevo a la red corporativa, el diseño del virus los mantiene vulnerables a los ataques durante algún tiempo.
Si el analista no está lo suficientemente capacitado o no tiene acceso a una herramienta en particular, es posible que deba generar tickets de servicio para actuar y responder, lo que alarga aún más el tiempo para responder, especialmente si esos procesos llevan tiempo o la herramienta no se administra las 24 horas 7.
Cada uno de estos pasos debe estar completamente documentado, con procesos para iniciar sesión en los diversos conjuntos de herramientas, como la administración de antivirus, la administración del control de acceso a la red, la detección y respuesta de puntos finales, con el fin de activar acciones manualmente.
Procesos de seguridad prescriptivos
Con seguridad prescriptiva, el tiempo que lleva identificar un problema se reduce a milisegundos. La información sobre múltiples eventos se recopila en un solo lugar y se enriquece con inteligencia de amenazas lista como un solo ‘ticket’ para que el analista analice y tome decisiones.
Inmediatamente, el analista tiene una mejor visibilidad del incidente utilizando sistemas avanzados de procesamiento de datos, análisis y gestión de eventos de seguridad para poder vincular rápidamente el virus al ataque de phishing y al asistente ejecutivo del CEO. Dado que se trata de un problema nuevo, la intervención humana es necesaria y, sin embargo, mínima: el analista selecciona el libro de jugadas más eficaz de acciones automatizadas para proteger todo el patrimonio.
En última instancia, esto elimina el riesgo de errores y no solo mejora el tiempo para responder al incidente inicial, sino que también ayuda a reducir o incluso erradicar el tiempo para detectar cualquier incidente posterior similar.
Gestión de servicios continua
Todos los incidentes de seguridad se monitorean, identifican, priorizan y administran en el Centro de operaciones de seguridad y una parte clave de las operaciones de seguridad es la integración con el resto de la administración de servicios, por ejemplo, para garantizar que todos los cambios en un estado de TI estén documentados y auditados.
Si todos los detalles y las tareas de corrección actuales se mantienen únicamente dentro de las herramientas de seguridad tradicionales, es probable que esto alargue el tiempo de respuesta y cree tareas de administración de cambios adicionales para el equipo de administración de servicios. Por el contrario, con la seguridad prescriptiva, todos los involucrados pueden mantenerse informados fácilmente de la situación. Entonces, por ejemplo, cuando el asistente del CEO llama a la mesa de servicio a la mañana siguiente porque el dispositivo no puede conectarse a la red, la mesa de servicio puede ver instantáneamente cómo y por qué se aisló el dispositivo y explicar esto.
Investigación forense
Después de cualquier incidente grave, los pensamientos se centrarán en revisar cómo ocurrió el incidente y cómo predecir y prevenir ataques similares en el futuro.
Así como tener datos distribuidos en sistemas dispares hace que el análisis y la respuesta a un incidente sea más lento, también hace que sea más difícil comprender los detalles de la ruta del ataque en retrospectiva. En contraste, con la seguridad prescriptiva, hay una auditabilidad completa y un aprendizaje continuo, trabajando en armonía para reforzar las defensas contra las amenazas cibernéticas. La seguridad prescriptiva cambia las reglas del juego: transforma la forma en que trabajan los analistas de seguridad para que los equipos puedan adelantarse a los malos actores, incluso a medida que crecen en número y se vuelven cada vez más sofisticados en sus estrategias de ataque.
Este artículo ha sido adaptado de Atos Visión digital para ciberseguridad 2 y fue escrito por Stephen Wing, líder de práctica de consultoría de seguridad, Atos Reino Unido e Irlanda.